Este artículo se ha archivado y Apple ya no lo actualiza.

Migrar a certificados firmados con SHA-256 para evitar fallas en la conexión

Los desarrolladores, los operadores de sitios web y los administradores de servicios que usan certificados firmados con SHA-1 para la seguridad de TLS deben migrar a certificados firmados con SHA-256 lo antes posible.

La compatibilidad con los certificados firmados con SHA-1, que se usan para la encriptación Transport Layer Security (TLS) en Safari y WebKit, ya no está disponible con los lanzamientos de macOS Sierra 10.12.4, iOS 10.3, tvOS 10.2 y watchOS 3.2. Debido a estas actualizaciones, finalizará la compatibilidad con los certificados emitidos por una autoridad de certificación (CA) raíz incluidos en la tienda Trust Store predeterminada del sistema operativo.

macOS High Sierra 10.13, iOS 11, tvOS 11 y watchOS 4, que estarán disponibles este otoño, no son compatibles con los certificados firmados con SHA-1 para ninguna conexión TLS.

Los certificados de CA raíz firmados con SHA-1, los certificados SHA-1 distribuidos por empresas y los certificados SHA-1 instalados por el usuario no se verán afectados.

¿Cuáles son los cambios?

En macOS Sierra 10.12.4 y posteriores y iOS 10.3 y posteriores, aparecerá una notificación en Safari cuando un usuario navegue en una página web que intente crear una conexión TSL con un certificado firmado con SHA-1. El usuario debe hacer clic en la notificación para cargar el sitio. Al finalizar la carga, el sitio aparecerá como una conexión insegura en Safari.

En las apps que utilicen WebKit para conectarse a un sitio a través de TLS, se obtendrá un error si el sitio tiene un certificado firmado con SHA-1. Los desarrolladores deberán asegurarse de que sus apps solucionen estos errores.

En macOS High Sierra 10.13, iOS 11, tvOS 11 y watchOS 4, cualquier app que intente crear una conexión TLS con un certificado firmado con SHA-1 no podrá conectarse. Entre estas apps, se incluyen los servidores que se usan para el correo electrónico, los calendarios, VPN y otros servicios.

¿Qué debo hacer?

Los desarrolladores, los operadores de sitios web y los administradores de servicios deben migrar a certificados firmados con SHA-256 lo antes posible a fin de evitar que aparezcan advertencias y que se produzcan fallas en la conexión. Muchos operadores de CA emiten certificados firmados con SHA-256.

Para ver una lista de certificados de CA raíz incluidos en la tienda Trust Store predeterminada de nuestras plataformas, consulta los siguientes artículos:

Fecha de publicación: